La vie est mal configurée

Le site LeMonde.fr a interrogé divers avocats et juristes au sujet de l'affaire #UnBonJuif (pour ceux qui n'auraient pas suivi : des inconnus ont diffusé sur le système de diffusion de messages Twitter des plaisanteries antisémites en les étiquetant par l'expression « Un bon juif »).

La plus grande partie de l'article est sans surprise pour ceux qui connaissent un peu de droit relatif à Internet : loi de 1881 (amendée, bien sûr) sur la presse, loi sur la confiance dans l'économie numérique, difficulté à contraindre une entreprise américaine sans activité en France à se conformer au droit français, surtout si les tribunaux américains refusent l'application aux États-Unis de décisions de justice rendues en France.

On trouve des choses plus notables :

Une autre solution plus radicale pourrait être alors, pour la justice française, d'exiger aux fournisseurs d'accès français un filtrage de "toutes les pages qui contiennent le mot-clé #UnBonJuif sur le territoire français", estime Alain Bensoussan. "Les tribunaux ont déjà demandé à des FAI de mettre en œuvre un blocage par nom de domaine (DNS), pour empêcher leurs abonnés d'accéder à partir du territoire français à des sites illicites (sites de jeux d'argent et de hasard en ligne non agréés par l'ARJEL, sites pédopornographiques, site négationniste)", rappelle Virginie Bensoussan-Brulé, qui cite comme exemples les affaires AAARGH et Copwatch.

C'est à ce moment que l'on regrette qu'en sus d'avocats et autres juristes, LeMonde.fr n'ait pas pensé à contacter des informaticiens afin de s'enquérir de la faisabilité technique de pareilles suggestions ou sur la pertinence de la comparaison entre un filtrage de mots-clés dans les pages Web et un filtrage de sites spécifiques dans le DNS. (Si mon lectorat a besoin d'explications complémentaires, je serai heureux de les fournir, selon mes disponibilités.)

Par ailleurs, on lit :

Par ailleurs, "le cadre sera différent de celui qui concerne les humoristes ou les journalistes, dont les spécificités du métier ont établi des jurisprudences de nature à les protéger (voir le jugement rendu sur Les Guignols de l'info en 1999). Or ici, il ne s'agissait pas d'humoristes ou de journalistes", continue Virginie Bensoussan-Brulé.

Je ne savais pas que le jurisprudence française reconnaissait une sorte de privilège aux humoristes professionnels par rapport aux simples citoyens.

Certains s'émeuvent qu'un juge de l'état de New-York considère que la simple visualisation, sans impression ni sauvegarde, d'images pédopornographiques ne soit pas un délit en l'état actuel de la loi. N'étant pas juriste et encore moins connaisseur de la loi de l'état de New-York, je contenterai de la question suivante, qui me semble de première importance.

En l'espèce, l'accusation était basée sur la présence d'images pédopornographiques dans le cache du navigateur du prévenu. Je ne suis pas un expert en navigateurs, mais il me semble techniquement possible de réaliser une page Web à l'allure tout à fait innocente, mais qui fait télécharger par le navigateur des images pédopornographiques sans que celles-ci ne soient affichées (par exemple par du Javascript, ou encore à l'aide d'affichages en 1×1 pixels). Il semble donc techniquement possible de faire une très mauvaise farce à un utilisateur : lui envoyer une page qui fera que son navigateur va ramener des images illicites (au besoin, ces images seront hébergées sur un serveur temporaire et accessible uniquement depuis le navigateur de la personne visée), puis rapporter son adresse IP aux autorités...

Mes lecteurs corrigeront au besoin mes doutes techniques.

J'ai fini par pouvoir me connecter.

Impossible de me connecter au VPN de l'Université Joseph Fourier, ni de faire un SSH vers mon laboratoire. Il est cependant possible de se connecter par SSH sur une machine qui fait spécialement tourner un sshd sur le port 443.

Commentaire : c'est très, très bête de la part de la SNCF.

Leur réseau WiFi est non chiffré, autrement dit les mots-clefs pour les sites HTTP (par opposition à HTTPS) ou les accès aux emails IMAP (par opposition à IMAPS) sont envoyés en clair et espionnable depuis n'importe quelle autre machine présente dans le salon. Autrement dit, là, je pourrais sans doute récupérer les mots de passe email, Twitter, etc. etc. de nombreux autres clients.

Non seulement leur réseau est non chiffré, mais ils empêchent d'utiliser les moyens de sécurisation usuels (VPN ou SSH).

Je n'arrive pas à me connecter sous Linux au WiFi du Salon Grand Voyageur de la Gare de Lyon : le DHCP échoue. En revanche, cela fonctionne sous Windows. Une idée ?

(Je me connecte sans problème à Eduroam ou d'autres réseaux.)

Connaissez-vous le réseau TOR ? Il s'agit d'un service d'anonymisation et de chiffrement des communications en ligne, destiné notamment aux dissidents des pays non démocratiques. Bien entendu, les gouvernements de ces pays n'entendent pas se laisser faire, et veulent pouvoir continuer à censurer des sites qui ne leur conviennent pas et à espionner leurs dissidents. La vidéo suivante propose une analyse des manœuvres de ces gouvernements.

Elle a fait beaucoup parler d'elle dans les milieux spécialisés, mais n'a je crois pas encore très couverte par les médias grand public : l'assignation « contre AlloStreaming » devant le Tribunal de Grande Instance de Paris. Expliquons un peu les enjeux, qui dépassent d'ailleurs largement la lutte contre le « piratage ».

Les grandes lignes

On associe généralement la copie illicite d'œuvres sur Internet à l'usage de réseaux « pair à pair », contre l'usage illicite desquels on a mis en place en France la fameuse HADOPI (dont je salue au passage le secrétaire général, s'il me lit). Cependant, ces dernières années s'est développé un autre procédé, bien plus direct : le « streaming » et sa variante le « téléchargement direct ». De quoi s'agit-il ?

Il existe divers sites Web dont la seule activité est de permettre aux internautes d'y déposer des fichiers qu'ils peuvent ensuite récupérer, ou donner à récupérer à d'autres internautes simplement en donnant un lien vers ceux-ci ; citons MegaUpload.com, Uploading.com, FileSonic.com, FileServe.com... Ces plates-formes ont des usages licites : un internaute qui a un gros volume de données à envoyer à des interlocuteurs (par exemple, des photographies de mariage ou de vacances à envoyer à la famille), ou à mettre à disposition du public, peut les utiliser pour héberger le contenu. Elles ont des usages illicites : on peut y mettre des copies de logiciels, musique, films etc. protégés par le droit d'auteur et/ou des droits voisins, et dont les ayant-droit n'agréent pas à pareille mise à disposition.

Selon le droit européen (article 15 de la directive 2000/31/CE) et le droit français (article 6 alinéa 7 de la Loi sur la confiance dans l'économie numérique), les opérateurs techniques de l'Internet et notamment les hébergeurs ne sont soumis à aucune obligation générale de surveillance et de recherche des contenus illicites. Le pourraient-ils seulement ? Si un internaute prend un logiciel et le met dans une archive à accès protégé par mot de passe, puis le met en ligne sous le nom photo_de_mariage_de_Fred, que pourrait bien faire l'hébergeur pour savoir que ce fichier est illicite ?

Bien entendu, ce qui vaut pour l'hébergeur vaut aussi pour les autres internautes : qui pourrait bien se douter que l'on peut trouver ce logiciel sous un nom pareil sur ce site ? Le manque à gagner pour les producteurs du contenu illicitement copié est limité, tant que la localisation du fichier à télécharger se transmet par bouche-à-oreille...

Pour pallier cette difficulté (difficulté du point de vue de ceux qui mettent ou visualisent en ligne du contenu illicite, cela s'entend), des sites d'annuaires de liens vers des téléchargements ou des streams d'œuvres licitement ou illicitement mises en lignes ont fleuri. Ces sites, financés par la publicité, affirment être dans la légalité car ils n'hébergent aucun contenu illicite : ils se contentent de dire où celui-ci se trouve sur la toile...

La réponse de certains représentants des ayant-droit : bloquer ou du moins rendre difficile l'accès à ces annuaires, ou du moins les plus connus d'entre eux. C'est pour demander cela que l'Association des producteurs de cinéma, la Fédération nationale des distributeurs de films, et le Syndicat de l'édition vidéo numérique assignent en référé divers prestataires techniques de l'Internet (les principaux fournisseurs d'accès à Internet et moteurs de recherche). L'assignation, gracieusement mise en ligne par PC Impact, fait une centaine de pages, résumons-donc en les points saillants.

Tout d'abord, pourquoi ce sont les prestataires techniques qui sont assignés, et non les sites d'annuaires. L'assignation relève que les gestionnaires de ces derniers se dissimulent derrière des procédures d'anonymisation et des prestataires situés dans des pays lointains. Ici, le lecteur ne pourra que reconnaître les procédés qui font le succès des armateurs de navires (pavillons de complaisance), de ceux qui veulent échapper aux impôts (dont, d'ailleurs, certaines vedettes de la chanson et du cinéma... qui veulent garder leur liberté de penser, sans doute) et de ceux qui veulent échapper à la justice (*) : toucher des recettes en Europe, mais se domicilier ailleurs et utiliser des représentants ou des sociétés-écrans. Devant la difficulté de poursuivre ceux qui gèrent réellement ces sites et en touchent les bénéfices, les ayant-droit ont renoncé. Il est par comparaison beaucoup plus simple d'atteindre des prestataires techniques tels que Free et Orange (basés en France) ou encore Google et Microsoft (moteur de recherche Bing), certes basés aux États-Unis mais ayant une présence en France.

Le but de l'assignation est de rendre, sinon impossible, du moins difficile pour les internautes de chercher des liens sur le site AlloStreaming et les sites associés. Pour cela, elle réclame des mesures de trois ordres :

1. aux principaux moteurs de recherche : de ne plus référencer les pages de ces sites ;

2. aux fournisseurs d'accès à Internet, de ne plus rendre les résultats de DNS pour ces sites (je vais expliquer ce concept) ;

3. aux fournisseurs d'accès à Internet, de filtrer les adresses IP de ces sites (là encore, je vais expliquer ce concept).

Commençons par le plus simple. Un moteur de recherche tel que Google ou Bing présente aux internautes des résultats de recherche en fonction de la requête formulée, et peut très simplement ôter de ces résultats ceux qui pointent vers un site répertorié sur une liste noire. Google a d'ailleurs déjà supprimé AlloStreaming de ses résultats. Comme la plupart des internautes cherchent et trouvent leur information via ces moteurs, cela assurera une diminution du trafic des sites en question. Bien sûr, ces sites peuvent rouvrir sous un autre nom, non présent dans la liste noire ; mais il leur faudra du temps pour retrouver la célébrité sous ce nouveau nom, temps pendant lequel ils occasionneront moins de manque à gagner aux ayant-droit ; si leur nouveau nom devient lui-même bien connu, il sera alors temps de le rajouter sur la liste noire.

Une suggestion dangereuse

Passons maintenant aux autres points, plus techniques : d'abord le point 2.

Lorsque vous accédez au Web ou à tout autre service Internet, vous contactez des machines qui répondent à vos demandes. De la même façon que pour envoyer un courrier postal, il faut l'adresse du destinataire, les machines connectées à Internet ont une adresse, dite « adresse IP ». Celle-ci se présente habituellement sous la forme de quatre nombres séparés par des points, par exemple 198.51.100.25. On peut voir cette adresse comme une sorte de « numéro téléphonique » identifiant la machine destinataire, au niveau mondial (d'ailleurs, l'épuisement des adresses sous cette forme, dite IPv4, a amené à passer à un format plus long et comportant plus de nombres, dit IPv6, mais celui-ci n'est pas encore largement déployé ; c'est un peu comme le passage de la numérotation téléphonique à 8 chiffres à celle à 10 chiffres). De la même façon que les premiers chiffres du code postal ou du numéro téléphonique (du moins sur les lignes fixes France Télécom) identifient une zone géographique, les premiers numéros de l'adresse IP identifient un prestataire Internet (je simplifie).

L'usage de l'Internet serait assez malaisé s'il fallait que les utilisateurs se rappellent de ces adresses : aussi préfère-t-on taper Google.com à taper 74.125.39.147. Pour passer de façon transparente de l'un à l'autre, il faut un service d'annuaire automatique : celui-ci s'appelle le DNS (Domain name system). Sans que vous vous en rendiez compte, votre ordinateur fait des requêtes DNS à chaque fois que vous utilisez un nom tel que Google.com, Free.fr, Ebay.fr, www.CNRS.fr, www-verimag.imag.fr.

Un service comme le DNS s'écroulerait s'il était totalement centralisé. Aussi, les prestataires de service Internet, ou les organismes disposant d'importants réseaux informatiques, disposent-ils de « caches » de DNS qui mémorisent les réponses au cas où elles resserviraient prochainement. Ainsi, quand vous allez sur voyages-sncf.com, votre ordinateur demande à votre prestataire Internet à quelle adresse IP ce site correspond, et votre prestataire répond immédiatement car d'autres personnes avant vous ont récemment accédé à ce site, et la réponse est encore dans la « mémoire cache » du prestataire. Ceci permet d'éviter l'engorgement.

L'assignation demande donc aux principaux prestataires d'accès Internet français de fausser les réponses aux requêtes DNS concernant les sites visés. Au lieu de répondre que www.allostreaming.com est à l'adresse 95.211.83.40, par exemple, le service DNS de votre prestataire mentira et répondra que ce site n'existe pas (voire renverra vers un autre site).

Toutefois, la plupart des prestataires Internet ne vous obligent pas à passer par leurs serveurs de DNS : c'est simplement le réglage par défaut. Il est possible de gérer le DNS entièrement en interne, ou de passer par des serveurs publics alternatifs de DNS (Google DNS, OpenDNS, etc.). Bien sûr, on peut vouloir faire cela afin de contourner les éventuels filtrages imposés pour lutter contre le « piratage », mais il y a bien d'autres raisons :

1. Les serveurs DNS de certains prestataires Internet souffrent de dysfonctionnements à répétition. Il m'est assez fréquemment arrivé, lors d'usages de bornes WiFi ou lorsque j'étais chez mon prestataire précédent, de passer sur une résolution DNS interne afin de pouvoir continuer à accéder à Internet avec un confort de navigation raisonnable. Cette possibilité de pouvoir contourner un service en panne ou au fonctionnement défectueux est une des bases du bon fonctionnement d'Internet et une raison de son succès, par comparaison à des services centralisés (il suffit de constater l'impact des pannes des services centralisés de messagerie BlackBerry).

2. Certains prestataires Internet imposent aux usagers de leurs services DNS une fonctionnalité douteuse : au lieu de renvoyer un message « ce site n'existe pas » en réponse à une demande pour un site qu'ils n'existent pas, ils mentent et renvoient sur une page de publicité.

3. On a récemment mis en place un système de sécurisation des informations DNS, permettant notamment de lutter contre les fraudes et escroqueries (phishing etc.). Les informations nécessaires au bon fonctionnement de ce système, appelé DNSSEC, sont supprimées par certains prestataires, sans doute parce qu'ils ont paramétré leurs systèmes avant le déploiement de DNSSEC et n'ont pas pris la peine de mettre à jour leur configuration. Il est donc nécessaire, dans ce cas, d'utiliser une résolution DNS alternative. Il ne s'agit pas là de pratiques ésotériques ou demandant de profondes connaissances en informatique : par exemple, le logiciel DNSSEC-trigger s'installe très simplement sur Windows, Mac ou Linux, et ensuite, de façon transparente pour l'utilisateur, contourne le système DNS du fournisseur d'accès Internet si celui-ci gêne l'utilisation de la sécurisation DNSSEC.

Aussi doit-on s'alarmer de la suggestion, figurant page 78 (page 70 du PDF) de l'assignation, d'une

« […] interdiction de l'usage par les abonnés d'un service (empêchant les utilisateurs de changer les adresses IP DNS fournies dans le cadre de l'abonnement souscrit auprès du [fournisseur d'accès Internet] pour leur substituer par exemple des services tels que OpenDNS, Google DNS etc...) »

Il s'agirait donc bien de forcer tous les internautes à n'utiliser que les services DNS de leur fournisseur d'accès, et de leur interdire l'accès aux services alternatifs, au motif de faciliter le filtrage. Je trouve pareille suggestion choquante, car il existe des raisons tout à fait respectables (par exemple celles citées ci-dessus) pour lesquelles un internaute peut vouloir utiliser un système DNS alternatif. Les internautes qui ne téléchargent pas de contenus illicites n'ont pas à souffrir d'effets secondaires de litiges qui ne les concernent nullement.

Les difficultés techniques du blocage

Passons maintenant au troisième point.

L'assignation admet que les services visés pourraient changer d'adresse plus vite que les procédures judiciaires ne permettraient de désigner de nouvelles adresses à bloquer. De plus, les adresses libérées par la migration des sites vers des adresses non bloquées, pourraient être allouées à d'autres sites (rappelons qu'il y a pénurie d'adresses IPv4 libres), de sorte que des sites innocents pourraient être bloqués.

Elle réclame donc que des prestataires techniques privés soient autorisés à fournir en temps réel aux fournisseurs d'accès Internet une liste noire de sites à bloquer, désignés par leur adresse IP, et que ceux-ci aient obligation de la mettre en œuvre.

Une difficulté du blocage par adresse IP, il me semble non soulevée dans l'assignation, est que plusieurs sites sans rapport les uns avec les autres peuvent être hébergés à la même adresse (rappelons là encore qu'il y a pénurie). Pour prendre un exemple concret, déjà soulevé par Reflets.info, le site werebuild.eu, désigné page 84 de l'assignation (page 76 du PDF) comme hébergeant des listes de « copies miroir » de sites illicites, héberge également des informations de coordination destinées à ceux qui en Syrie ou dans d'autres dictatures luttent contre le pouvoir en place. Notons également une association d'idées assez dérangeante : dans le même paragraphe, un site est désigné comme « lié aux mouvances libertaires et anarchistes », comme si cela devait constituer une présomption d'illégalité ou désigner préférentiellement au blocage.

Le blocage par adresse IP est donc une arme difficile à manier, avec des risques de surblocages collatéraux. Quelles sont les alternatives ?

1. Le « filtrage hybride », en résumé, intercepte partiellement les communications afin de permettre un filtrage plus fin au sein d'un site, de ne bloquer que certaines pages et non d'autres. Sa mise en œuvre est difficile ; j'ai déjà parlé ici d'un fiasco causé par un filtrage abusif exercé par l'autorité privée britannique de l'Internet.

2. Le « deep packet inspection » est également intrusif. Notons que nous avons en France des experts de cette technologie : d'après différents média, une société française filiale d'un groupe bien connu aurait vendu au régime libyen des dispositifs la mettant en œuvre, que ce régime aurait utilisé pour espionner ses dissidents. Pareil antécédent devrait nous inciter à la prudence : si, pour agréer aux demandes catégorielles des ayant-droit, on mettait en place pareil système en France, il serait extrêmement tentant de l'utiliser pour d'autres fins. Rappelons qu'en France, des magistrats et des policiers sont actuellement accusés d'avoir indûment demandé des listings détaillés de factures téléphoniques (les fameuses « fadettes »), et ce pour des raisons de commodité politique.

La course à l'armement

Imaginons que les ayant-droit parviennent à faire bloquer les sites d'annuaire de contenus illicites au niveau des moteurs de l'adresse IP et des DNS. Ces sites pourraient fort bien réémerger par exemple comme services sur le réseau TOR. Ce réseau est justement conçu pour que l'on ne puisse pas facilement exercer d'espionnage ou de censure pour les communications ; il est utilisé par des dissidents politiques dans divers pays autoritaires mais dotés d'accès à Internet.

La tentation sera alors éventuellement de réclamer l'interdiction de TOR. Le problème, c'est que sur TOR, on ne peut pas couper l'accès au contenu « légitimement illicite » (le contenu illicite au vu du droit français) sans couper l'accès au contenu « illégitimement illicite » (celui pourchassé par les régimes autoritaires). Il faut bloquer TOR dans son ensemble.

Gageons qu'alors on trouvera un moyen de faire passer TOR dans des communications VPN ou SSH, utilisées notamment pour le télétravail (accès sécurisé aux réseaux d'entreprise depuis des lieux qui ne le sont pas forcément : WiFi public, etc.). Les ayant-droit demanderont-ils alors l'interdiction des VPN ou de SSH ?

On le voit, nous sommes engagés dans une course à l'armement, contre laquelle j'avais mis en garde déjà en 2006. Il va falloir être vigilant, afin que les bisbilles entre ayant-droit et sites de téléchargement illicites, auxquelles une grande part des internautes sont étrangères, n'aient pas d'effets collatéraux négatifs, que ce soit sur la fiabilité du réseau, sur les libertés individuelles ou sur la liberté d'expression, notamment dans les régimes autoritaires.

(*) Je ne résiste pas à rappeler qu'une des principales organisations d'ayant-droit français, la Société des auteurs-compositeurs dramatiques (SACD), héberge fièrement sur son site une pétition en faveur de Roman Polanski, prétendant à l'« extraterritorialité » des festivals internationaux de cinéma par rapport au droit pénal. Par ailleurs, le directeur général de la SACD, Pascal Rogard, a approuvé ce matin sur Twitter l'assignation sujet de ce billet :

« Qui peut raisonnablement défendre les mafias du streaming illicite On verra si la loi en vigueur est adaptée à cette forme de criminalité. »

Il semble donc que M. Rogard considère que les sites de téléchargement qui se jouent des frontières pour échapper à la justice dans une affaire de manque à gagner pour l'industrie cinématographique, c'est mal, mais que la société qu'il dirige considère qu'en revanche c'est une excellente chose qu'un réalisateur connu fasse de même dans une affaire de viol de mineure de moins de quinze ans.

PS : L'assignation relève, comme preuve de compétence en matière de réseaux d'un consultant technique, que celui-ci est polytechnicien. Avec tout le respect que je dois à mes étudiants passés, présents et futurs, je peux attester qu'être polytechnicien n'implique pas la compétence en informatique. Ceci n'est pas un commentaire à l'encontre du consultant en question, que je n'ai pas l'honneur de connaître, juste un constat.

Un nombre impressionnant de sites, y compris publics, imposent à celui qui voudrait visionner des vidéos ou écouter de l'audio l'usage de « lecteurs » intégrés dans les pages Web, souvent mis en œuvre par la technologie Flash.

Je trouve cela très désagréable :

1. Ces lecteurs ont une fâcheuse tendance à ne fonctionner que sur certains navigateurs sur certains types de machines ; typiquement, ils fonctionnent avec Internet Explorer sur Windows 32 bits, mais pas sous Linux, ou pas sous Linux 64 bits, ou pas sur certaines tablettes.
2. Ils imposent l'installation d'outils connus pour leur grand nombre de trous de sécurité. Je vois sans cesse des avertissements de bugs sur Flash, imposant une mise à jour d'urgence. Notons que de nombreux utilisateurs en milieu d'entreprise ou scolaire n'ont pas le droit d'installer des logiciels sur leur machine.
3. Ils rendent difficile le téléchargement pour utilisation hors ligne. Personnellement, j'aime pouvoir récupérer un lien vidéo ou audio pour pouvoir l'écouter dans le train, par exemple.

Qu'est-ce qui rend si difficile l'inclusion, éventuellement en supplément du « lecteur » intégré, d'un lien vers un fichier dans un format standard (MP4 ou autre) ?

Quels bénéfices concrets aurais-je à activer IPv6 sur laa connexion Internet de mon domicile ? Quels inconvénients ?

Le Figaro, malgré le titre suggérant la nouveauté (''Internet, nouveau cauchemar des vigies antiterroristes''), nous propose un énième ressassement de cette scie de la presse française depuis environ 15 ans, à savoir les méchants sur Internet (pédophiles, néo-nazis, et terroristes islamistes).

Commentons un peu plus :

Des flics des Renseignements généraux faisant la planque, sous la pluie, en attendant la sortie de la mosquée… Longtemps, le boulot des policiers des RG affectés à la traque des terroristes, en France, a collé à cette image d'Épinal. Mais comme le lieutenant Columbo, son vieil imperméable beige et sa Peugeot 403 Cabriolet, elle appartient désormais au passé. Rendue totalement ringarde par l'apparition d'Internet.

C'est sür que si la police se contentait de « planquer » en envoyant devant une mosquée principalement utilisée par des maghrébins ou des turcs des européens en imperméable, elle devait être d'une grande efficacité... Passons également sur la restriction du terrorisme aux seuls musulmans, quelque peu curieuse après le massacre norvégien, lui-même précédé par le carnage d'Oklahoma City.

Continuons :

Il a remarqué le professionnalisme des sites, qui utilisent des modérateurs pour veiller à l'orthodoxie de la ligne idéologique et maîtrisent parfaitement les logiciels de cryptage.

On dit « chiffrement » et non « cryptage ». Il n'y a pas de mystère à l'utilisation du chiffrement en ligne : le moindre site commercial en utilise pour gérer les commandes et les paiements, sans parler des gens qui, comme moi, accèdent aux ressources de leur employeur par un réseau privé chiffré (VPN) ou une connexion ssh. Il n'y a donc rien d'extraordinaire à ce que des terroristes utilisent ces fonctionnalités fortement déployées dans la population ; le contraire serait un signe de stupidité et d'amateurisme de leur part. Je suppose que dans ce genre d'activités, les amateurs désorganisés et visibles ne font pas de vieux os.

Finissons :

Le cauchemar des spécialistes de l'antiterrorisme serait l'avènement d'un cyberterrorisme islamiste. Que des djihadistes réussissent, à partir d'Internet, à provoquer une panne dans la tour de contrôle d'un grand aéroport européen ou à couper l'électricité d'un hôpital, par exemple.

Ce propos illustre le danger qu'il y a à connecter des infrastructures essentielles à la sécurité à Internet. Nous avions déjà eu l'exemple de systèmes de centrales nucléaires connectés à Internet pour des raisons de télémaintenance... La solution est simple : totalement découpler le réseau destiné aux activités critiques du réseau destiné, par exemple, à la bureautique. C'est ce qui est fait dans certaines entreprises de haute technologie : il y a les postes informatiques Windows utilisés pour la bureautique, le courrier électronique etc., et les postes informatiques, souvent sous d'autres systèmes tels que Linux, utilisés pour le cœur de métier, les deux ne pouvant pas communiquer directement. Autres parties de la solution : refuser les logiciels trop complexes et mal maîtrisés ; utiliser des systèmes d'exploitation configurés pour faire fonctionner les services voulus, sans autres fonctionnalités (par exemple support de la bureautique, des jeux etc.) ; utiliser des techniques d'analyse statique, de fuzzing etc. pour trouver les bugs avant que les méchants ne les trouvent (et je ne dis pas cela parce que j'ai un produit à vendre).